X
Menu

UNIÓN EUROPEA: ESPAÑA: La Protección de Datos de Cumpleaños

UNIÓN EUROPEA:  ESPAÑA: La Protección de Datos de Cumpleaños

Este mes, hizo un año desde la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, el 25 de mayo. En diciembre de 2018, se completó en España con la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Con estas normas se obliga a las empresas al tratamiento de datos personales con responsabilidad proactiva “accountability” o, lo que puede traducirse como “tener que rendir cuentas”, y esto inevitablemente ha supuesto: duplicar la documentación de protección de datos.

El nuevo escenario “proactivo” invierte la carga de la prueba respecto al adecuado tratamiento de estos datos personales. El interesado o afectado que reclame no tendrá que aportar nada, sino que es la empresa o entidad que trata o ha tratado los datos, quien tiene que estar en condiciones de demostrar que lo ha hecho de forma correcta.

Con sanciones de hasta 20 millones de euros, o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual del ejercicio anterior, y se opta siempre por la de mayor cuantía, la aplicación de esta nueva normativa, sigue encontrándose con tres dificultades esenciales:

  • La falta de implicación de la dirección general de las empresas
  • La respuesta automática de “pero las cosas siempre se han hecho así”
  • La solicitud y tratamiento de información personal desproporcionada, “por si acaso”.

Las diez grandes novedades, a destacar, de la nueva legislación son:

  1. Responsabilidad proactiva: justificar, documentar, probar. El hecho de documentar medidas y actuaciones, disminuye la responsabilidad y la sanción.
  2. Privacidad en el diseño y por defecto de cualquier nuevo servicio, o proyecto que trate datos personales. Desde mayo del año pasado, cualquier nuevo tratamiento supondrá un análisis de riesgos o, en su caso, una evaluación previa de impacto que obligue a elegir entre diversas alternativas, la más restrictiva y la que mejor proteja a los interesados. No hacer estos estudios previos supone una inmediata sanción.
  3. La minimización de los datos. Sólo han de ser objeto de tratamiento los datos personales que sean necesarios para cada fin específico del tratamiento. Y esto afecta a la cantidad de los datos recogidos, a la extensión de sus tratamientos, a su plazo de conservación y a su accesibilidad.
  4. Transparencia y consentimientos reforzados. Obligación de informar de todo el tratamiento y de recabar el consentimiento expreso. Esencial para las entidades: poder demostrar que se tiene ese consentimiento expreso.
  5. Nuevos datos sensibles: genéticos y biométricos cuando sean identificativos. Ej: La huella digital exige una valoración de su proporcionalidad o no, antes de recabarla y condiciones expresas para que su tratamiento sea autorizado.
  6. Nuevos derechos para los interesados: la portabilidad y la limitación del tratamiento.
  7. “Flexibilización” de las medidas de seguridad: han de adaptarse a cada tratamiento, y tener los parámetros organizativos necesarios. Todos ellos se dejan a la valoración de la empresa, pero deben estar debidamente justificados y documentados en los análisis del riesgo, que deben ser revisados y actualizados, para evitar las sanciones del Reglamento Europeo.
  8. Registro de Actividades de tratamiento: obligatorio para todas las entidades que traten datos sensibles. Se deben recoger todos los tratamientos, estar actualizado y ser objeto de revisión periódica.
  9. Delegado de Protección de Datos: Obligatorio para determinadas entidades y sobre todo cuando haya una observación sistemática de interesados a “gran escala”, cuando se elaboren perfiles de usuarios a gran escala, …. El Delegado de Protección de Datos no realiza la implantación o implementación de la protección de datos, porque su obligación es examinarla, controlarla y verificarla lo más independientemente posible, así como recibir, actuar y notificar ante reclamaciones y brechas de seguridad.
  10. Evaluación Previa del Impacto en privacidad de cualquier nuevo servicio, proyecto o programa para determinados tratamientos. Ha de realizarse antes de ponerlo en marcha y debe de ser sistemática y reproducible. Cuando de esta evaluación se desprenda la existencia de un riesgo elevado, antes de poner en marcha el nuevo servicio o programa ha de realizarse una consulta a la Autoridad de Control o replantear su viabilidad.

Con todo ello, el Reglamento Europeo, inevitablemente viene para quedarse obligando a crear en las empresas una cultura y respeto por la privacidad, que salvaguarde los datos personales de los ciudadanos de la Unión Europea que manejan las instituciones públicas, empresas y organizaciones.

En un año, la adaptación al Reglamento empieza a evidenciarse:

  • En el aumento de las reclamaciones de particulares o empresas ante la Agencia Española de Protección de Datos, en 2018, un 32,8%, lo cual ha supuesto unas 14.146 reclamaciones.
  • En la notificación de 60.000 brechas de seguridad, que han sido reportadas por empresas y entidades a las autoridades competentes de cada país. En España, la Agencia de Protección de Datos recibe una media de 2 notificaciones diarias, lo que significa unas 700 brechas de seguridad comunicadas desde que entró en vigor el Reglamento Europeo
  • En que las empresas son cada vez más sensibles al cumplimiento del Reglamento de Protección de Datos, un 68% ya califican el RGDP como prioridad máxima.

¿Qué nivel de riesgo está dispuesto a tolerar en su empresa?

Suscríbase a nuestras noticias

Vamos a proceder a la recogida de sus datos, por favor, lea atentamente nuestra política de protección de datos

Consiento expresamente el tratamiento de mis datos personales de conformidad con la política de protección de datos

Deseo recibir comunicaciones publicitarias por correo postal o electrónico sobre servicios de esta entidad, así como recibir el Newsletter digital de Externa Corporativo SL.

Responsable: EXTERNA CORPORATIVO SL CIF nº B70321393

Finalidad: Gestionar adecuadamente su demanda de información.
Legitimación: Consentimiento del interesado
Destinatarios: No se cederán datos a terceros, salvo obligación legal
Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional
Información adicional: Ver nuestra política de protección de datos

Tiene alguna duda. ¡Escríbanos sin compromiso!

Vamos a proceder a la recogida de sus datos, por favor, lea atentamente nuestra política de protección de datos




Los campos marcados con * son obligatorios

Marcando esta casilla, manifiesta haber leído y aceptado expresamente la presente Política de Privacidad y Protección de Datos, otorgando su consentimiento inequívoco y expreso a EXTERNA CORPORATIVO SL para el tratamiento de los datos de acuerdo con las finalidades y servicios aquí reflejados.

Consiento expresamente el tratamiento de mis datos personales de conformidad con la política de protección de datos


Responsable: EXTERNA CORPORATIVO SL CIF nº B70321393

Finalidad: Gestionar adecuadamente su demanda de información.
Legitimación: Consentimiento del interesado
Destinatarios: No se cederán datos a terceros, salvo obligación legal
Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional
Información adicional: Ver nuestra política de protección de datos